在和一个朋友交流权限系统方面的实现时,朋友提及到JAAS,我自己对JAAS不是那么了解,不好去评价,后来去网上查阅了不少JAAS的文档,应该说现在大致的对JAAS有些的理解了吧,个人觉得JAAS只能算是实现权限系统的另一种方式,相当于提供了一个框架,至于这个框架基于什么模型我无从评价,对比下来我仍然认为基于RBAC自行实现是更佳的方案,不过JAAS中也有可取之处,那就是它的PAM思想。
JAAS我在这里就不去做什么介绍了,我只说说基于JAAS如何去实现权限系统,因为JAAS本身就是提供了一个权限授予、认证的框架,JAAS主要通过policy的文件方式来实现权限的授予,在policy文件中描述某类的方法授予给哪个subject执行,在校验权限中则通过subject.doAs或doPrivileged来实现权限的控制(subject在登录后即可获取),这时JAAS允许自己扩展policy的校验策略,从框架来分析我们可以看出基于JAAS确实可以实现通常权限系统的需求,如对于系统操作的权限控制,可通过policy的方式定制将模块的功能(某类的某方法)grant给具体的subject来实现模块功能权限的授予,通过subject.doAs、doPrivileged来实现模块功能权限的校验。
上面说的是基于JAAS的一个基本的实现,但通常我们都想采用基于角色的方式,这个时候就要将上面policy中的subject替换成角色,同时扩展jaas本身采用的policy策略,以实现基于数据库等的方式,如果要实现权限的继承、排斥和包含这些的时候就得在policy中进行。
其实按上面的说法已经可以发现,思想上已经变成了在基于JAAS的框架上去实现RBAC,而在这种情况下还不如直接自己实现,因为如果在基于JAAS上去实现的话,那在实现的时候还得去受JAAS的限制,还不如直接自己实现RBAC,不是吗?
呵呵,也许是我受RBAC思想影响太深......^_^
不过JAAS的PAM思想是完全值得吸取的,采用这种可以使得多种校验、授权模式的支持,这个在以后自己实现权限系统时也是值得改进的。
也许自己的评价是不太合理的,因为我觉得JAAS设计的用意并不在应用系统的权限控制上,也就是说我现在评价的完全不是它设计的本意、来源,JAAS更为适合象tomcat这种管理端的应用上,^_^